使用路径分析

路径分析是一个配置分析工具,覆盖ECS实例互访、ECS与公网IP地址互访、ECS与私网IP地址互访、云上VPC与云下站点互访等多类应用场景,能够判断源资源和目的资源之间的连通性,诊断网络配置错误引起的连接问题。

路径分析介绍

路径分析原理

执行路径分析时,网络智能服务 NIS(Network Intelligence Service)会生成源资源和目的资源之间的虚拟网络路径逐跳详细信息。当目的地不可达时,会检查阻塞的位置和原因。路径分析主要检查实例状态和网络配置,包括网络实例的状态、安全组配置、网络ACL配置、路由表配置、负载均衡中的配置。

路径分析不会发送数据包或分析数据平面,只需要指定从源资源到目的资源的流量路径。例如,指定一个阿里云账号下的云服务器 ECS(Elastic Compute Service)实例作为源资源,指定该阿里云账号下的另一个ECS实例作为目的资源,设置22作为目的端口、TCP作为协议,即可以通过路径分析功能验证源ECS实例是否可以通过SSH连接到目的ECS实例。

说明

路径分析是单方向的,若您要分析回包路径,调换源资源和目的资源重新分析即可。

路径分析支持的中间节点

当前路径分析支持的中间节点包括:交换机、虚拟路由器、弹性网卡ENI、EIPCLBTR、VBR、公网NAT网关、云防火墙(Cloud Firewall)VPN 网关、IPv4网关、专线网关ECR。

应用场景

路径分析支持对以下场景进行分析:

  • 跨地域间ECS实例互访:通过云企业网 CEN(Cloud Enterprise Network)VPC对等连接、转发路由器 TR(TransitRouter)实现跨地域间ECS实例互访,并支持识别专有网络 VPC(Virtual Private Cloud)边界防火墙。该场景的源资源和目的资源可以属于不同的阿里云账号所有。

  • 同地域间ECS实例互访:通过CEN、VPC对等连接、TR实现同地域间ECS实例互访,并支持识别VPC边界防火墙。

  • ECS实例与公网IP地址互访,并支持识别互联网边界防火墙。

  • 公网IP地址与私网CLB实例互访。

  • ECS实例与公网CLB实例互访。

  • ECS实例通过公网NAT网关的SNAT规则访问公网。

  • 公网通过公网NAT网关的DNAT规则访问ECS实例。

  • ECS实例通过VPN网关与私网IP地址互访。

  • 云上VPC内实例通过边界路由器VBR(Virtual Border Router)与云下站点互访,并支持识别VPC边界防火墙。

使用限制

路径分析支持以下类型的资源作为源或目的资源:

  • 源资源:ECS、公网IP地址、交换机、VBR、VPN网关、云下私网IP。

  • 目的资源:ECS、公网IP地址、交换机、VBR、VPN网关、云下私网IP、传统型负载均衡CLB

重要

如果源资源和目的资源都选择公网IP地址,请确保它们中至少有一个IP地址被映射到ECS实例的公网IP地址上。否则,路径分析功能无法正常使用。

单账号支持的配额限制如下表所示。

资源

默认限制

提升配额

最大路径条数

100

无法提升

最大历史分析记录

1000

并发分析数

5

创建路径

  1. 登录网络智能服务管理控制台

  2. 在左侧导航栏,选择自助诊断 > 路径分析

  3. 路径分析页面,单击发起分析

  4. 发起分析页面,配置以下参数信息。

    配置

    说明

    选择源类型

    • ECS:选择ECS实例ID,即选择ECS实例作为路径中的源资源。选择ECS实例后,您可以选择ECS实例的私网IP地址。如果不选择ECS实例的私网IP地址,默认分析ECS实例主IP地址。

    • 公网IP:输入公网IP地址作为路径中的源资源。

      支持输入ECS实例的固定公网IP、弹性公网IP或非阿里云的公网IP。不支持源资源和目的资源都为非阿里云的公网IP。

    • 交换机:选择交换机作为路径中的源资源。

    • 边界路由器:选择边界路由器作为路径中的源资源。

    • VPN网关:选择VPN网关作为路径中的源资源。

    • 云下私网IP选择阿里云下私网IP作为路径中的源资源。在云下私网IP场景下支持VPN网关和边界路由器类型,并且此时云下私网IP地址为必填项。

    目的

    选择目的类型

    • ECS:选择ECS实例ID,即选择ECS实例作为路径中的目的资源。选择ECS实例后,您可以选择ECS实例的私网IP地址。如果不选择ECS实例的私网IP地址,默认分析ECS实例主IP地址。

    • 公网IP:输入公网IP地址作为路径中的目的资源。

      支持输入ECS实例的固定公网IP、弹性公网IP或非阿里云的公网IP。不支持源资源和目的资源都为非阿里云的公网IP。

    • 交换机:选择交换机作为路径中的目的资源。

    • 边界路由器:选择边界路由器作为路径中的目的资源。

    • VPN网关:选择VPN网关作为路径中的目的资源。

    • 云下私网IP选择阿里云下私网IP作为路径中的目的资源。在云下私网IP场景下支持VPN网关和边界路由器类型,并且此时云下私网IP地址为必填项。

    • 传统型负载均衡:选择CLB作为路径中的目的资源。

    协议

    默认为TCP协议。支持选择以下协议:

    • TCP:传输控制协议。

    • UDP:用户数据报协议。

    • ICMP:网络控制报文协议。

    目的端口

    输入目的资源的端口号,默认端口号为80,该参数非必填。如果该参数不填,路径分析会检测源资源到目的资源所有端口的连通性。

  5. 选择是否保存路径。默认为,若选择,则路径创建后,路径参数将被保存,便于重复分析。

  6. 单击发起分析

分析路径

  1. 路径分析页面,找到目标路径,然后在操作列单击发起分析

  2. 在弹出的对话框,单击确定

  3. 路径分析详情页面,查看分析结果。

    • 路径可达或不可达,显示源资源到目的资源的访问状态及源资源到目的资源的各个节点。当路径不可访问时,还会显示错误信息。

    • 路径未知时,显示错误信息。

结果分析

路径分析的结果有以下几种情况。

  • 路径可达

    下图展示了VPC对等连接在互访时,一个VPCECS实例到另一个VPC内交换机的路径分析结果,下图表示源ECS实例到目的交换机之间路径连通正常,及两个VPC之间网络连通性正常,可以访问。可访问

    单击路径中各个节点右侧的下拉箭头图标,可以查看各个节点的详细信息。image.png

  • 路径不可达

    下图展示了某个VPCECS实例到NAT网关的路径分析结果,错误信息为公网NAT条目不匹配,请检查NAT网关配置,此时源ECS实例到目的NAT网关之间路径连通异常不可访问。不可访问

    单击路径中异常节点右侧的下拉箭头图标,可以查看异常节点的具体情况。

  • 未知

    下图展示了当发生异常时路径分析的一种情况,错误信息为资源不存在,请确认资源是否已删除

    未知路径分析结果异常的错误信息如下所示:

    • 不允许源资源和目的资源相同。

    • 路径存在未支持的中间节点,暂不支持路径分析。

    • 资源不存在,请确认资源是否已删除。

    • 资源状态异常,请检查资源是否正常运行。

    • 路由不可达,请核查路由配置。

    • 未匹配安全组规则,被默认规则拒绝。

    • 匹配安全组丢弃规则。

    • 未匹配到网络ACL规则,被默认规则拒绝。

    • 匹配网络ACL丢弃规则。

    • 发生异常导致结果未知,请稍后重试。

    • 服务内部异常,请稍后重试。

    • 匹配用户指定CLB黑名单丢弃规则。

    • 未匹配CLB白名单规则默认丢弃。

    • 公网NAT条目不匹配,请检查NAT网关配置。

    • 无法与公网互连,请匹配弹性公网IP。

    • IPv4网关路由不可达,请在VPC路由表中添加指向IPv4网关的路由条目。

    • IPv4网关激活后被删除,导致公网不通。请重新创建、激活IPV4网关,并在VPC路由表中添加指向IPv4网关的路由条目。

    • 路由不可达,请核查IPv4网关路由配置。

    • VPN网关上缺少指向源IP回程路由。

删除历史分析

您可以在分析路径中删除不需要的历史分析记录。

  1. 路径分析页面,找到需要删除历史分析记录的路径,然后在路径ID列,单击路径ID。

  2. 在路径分析详情页面的历史分析区域,找到需要删除的历史分析记录,然后在操作列单击删除

  3. 在弹出的对话框,单击确定

删除路径

当您不需要检测某个路径的连通性时,您可以删除该路径。

  1. 路径分析页面,删除目标路径。

    • 删除单个目标路径:在单个目标路径的操作列单击删除

    • 批量删除目标路径:选中多个目标路径,单击列表下方的批量删除

  2. 在弹出的对话框,单击确定

设置标签

路径分析支持标签功能。您可以通过标签对路径分析实例进行标记和分类,便于资源的搜索好聚合。

  • 批量增加标签

  1. 路径分析页面,选择目标路径,单击列表下方的设置标签 > 批量增加标签

  2. 编辑标签对话框中,配置标签键标签值,然后单击确定

  • 批量删除标签

  1. 路径分析页面,选择目标路径,单击列表下方的设置标签 > 批量删除标签

  2. 在弹出的对话框,单击确定。关于标签的更多信息,请参见标签概述

其他相关操作

操作

步骤

查看历史路径分析

在路径分析详情页面历史分析区域,可以查看历史分析结果。

重新发起路径分析

在路径分析详情页面,单击右上角的发起分析

新生成的分析记录会展示在历史分析列表中,您可以根据分析时间区分不同时间的分析结果。

常见问题

为什么会提示“路径存在未支持的中间节点,暂不支持路径分析”的信息?

系统根据指定的源资源和目的资源所得到的路径不在NIS当前版本支持的场景范围内,会显示此错误信息。

为什么会提示“匹配安全组丢弃规则”的信息?

例如,您配置VPC2的ECS实例安全组只允许VPC1下交换机1网段的ECS实例访问,不允许VPC1下其他交换机网段的ECS实例访问。当您通过路径分析,选择VPC1下交换机2的ECS1作为源,选择VPC2下的ECS实例作为目的,就能在目的ECS实例的ENI上看到被安全组阻隔的问题,提示“匹配安全组丢弃规则”错误信息。您可以修改安全组规则解决该问题。

为什么会提示“路由不可达,请核查路由配置”的信息?

例如在VPC对等连接在跨域互访时,会要求用户在两个地域内的VPC路由器中配置到目的网段的路由表项。比如VPC1在地域1,VPC2在地域2,用户如果未配置VPC1下到VPC2的路由,两边的ECS无法互联。通过路径分析,输入VPC1下的ECS1作为源,VPC2下的ECS2作为目的,会看到路径在VPC1的路由器截断,提示“路由不可达,请核查路由配置”。

相关文档

CreateNetworkPath:创建网络分析路径。

CreateNetworkReachableAnalysis:创建网络可达性分析任务。

CreateAndAnalyzeNetworkPath:发起网络可达性分析任务。

GetNetworkReachableAnalysis:获取网络可达性分析任务结果。

DeleteNetworkPath:删除网络分析路径。

DeleteNetworkReachableAnalysis:删除网络可达性分析任务。